警察庁は25日、金融機関を装うフィッシングサイトが9月下旬から再び増加しているとして注意を呼びかけた。同庁がフィッシングの注意喚起を出すのは、6月に続く今年2回目となる。
前回の注意喚起は、3月中旬から休止していた金融機関のフィッシングが、6月に再開したことを受けてのもの。「三菱東京UFJ銀行」を装うフィッシングが6月10日頃から始まり、「りそな銀行」「三井住友銀行」「ウェブマネー」の偽サイトが続けざまに出現した。これら金融機関のフィッシングは、7月下旬までしつこく繰り返されたが、その後はピタリと止まり、先週までほとんど観測されていなかった。
今回の注意喚起は、休止していた金融機関のフィッシングが、19日に再開したことを受けたものだ。攻撃開始からすでに1週間が経過しているが、国内ISPのアクセス回線上に開設された偽サイトは、この間ほとんど止まることなく稼働を続けており、今回も攻撃が長期化するおそれがある。
標的は、今のところ「三菱東京UFJ銀行」だけだが、「本人認証サービス」や「メールアドレスの確認」といった件名のフィッシングメールが、繰り返し不特定多数に送られている。今後は、他の金融機関にも拡大する可能性があるので、警戒していただきたい。前回のフィッシングでは、「三菱東京UFJ銀行」「りそな銀行」「三井住友銀行」の偽サイトが、同じサーバー上に同時に設置されていたことがある。現在稼働中の「三菱東京UFJ銀行」の偽サイトは、その時のものと同一の構築キットが使用されている。
■フィッシング被害にあわないための対策
警察庁は、フィッシングサイトが減少と増加を繰り返していることから、オンラインバンキングなどを利用する場合には、常に注意を払う必要があるとし、被害にあわないための対策と正規サイトの確認方法を紹介している。ウイルス感染による被害も続いているため、基本的セキュリティ対策も重要としている。以下に、同庁の発表資料を引用する。
<対策>
・正規のサイト管理者がメールで口座番号や暗証番号の入力を促すことはないことから、そのようなメール内のリンク先は安易にクリックしない。
・認証を必要とするサイトには、正規のURLを直接入力するなどして、表示されているメニューから操作する。
<正規サイトの確認方法>
・ブラウザに表示されているURLが正規のものであるか確認する。
・個人情報等を入力する場合は、サイトがSSL/TLS(URLが「https」から始まる)により、暗号化されていることを確認する。
・サイトの証明書を表示し、証明書の発行先が金融機関等の正規のサイト管理者であることを確認する。
<基本的なセキュリティ対策>
・ウイルス対策ソフトをインストールし、パターンファイルを最新のものにしておく。
・OS やソフトウェアのセキュリティ修正プログラムを適用しておく。
・インターネット上のファイルやメールの添付ファイルで不審なものは実行しない。
正規サイトの確認方法については、3項目全てを確認するよう指示しているが、国内の金融機関はEV SLLという特別な証明書を使用していることが多いので、より簡単で確実な確認方法をご紹介しておく。
EV SLLのサイトにhttpsで接続すると、アドレスバーの横に運営会社の名前が緑色で表示される。ここに正規サイトの運営会社の名前が表示されていれば、正規サイトであることが確認できる。地銀や信金などのオンラインバンキングでは、外部のシステムを利用しているところが多く、その場合は銀行名ではなく運営会社の名前が表示されることがあるので注意していただきたい。
(2014/09/26 ネットセキュリティニュース)
【関連URL】
・金融機関等のフィッシングサイトの増加について(第2報)[PDF](警察庁)
http://www.npa.go.jp/cyberpolice/detect/pdf/20140925.pdf